Gestire indicatori
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).
Selezionare la scheda del tipo di entità che si vuole gestire.
Aggiornare i dettagli dell'indicatore e selezionare Salva o selezionare il pulsante Elimina se si vuole rimuovere l'entità dall'elenco.
Importare un elenco di ioc
È anche possibile scegliere di caricare un file CSV che definisce gli attributi degli indicatori, l'azione da eseguire e altri dettagli.
Scaricare il file CSV di esempio per conoscere gli attributi di colonna supportati.
Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).
Selezionare la scheda del tipo di entità per cui si desidera importare gli indicatori.
Selezionare Importa>scegli file.
Selezionare Importa. Ripetere per tutti i file da importare.
Scegliere Fine.
Nota
È possibile caricare solo 500 indicatori per ogni batch.
Il tentativo di importare indicatori con categorie specifiche richiede che la stringa venga scritta nella convenzione case Pascal e accetti solo l'elenco di categorie disponibile nel portale.
La tabella seguente illustra i parametri supportati.
| Parametro | Tipo | Descrizione |
|---|---|---|
| indicatorType | Enum | Tipo dell'indicatore. I valori possibili sono: FileSha1, FileSha256, IpAddress, DomainName e URL. Obbligatorio |
| indicatorValue | Stringa | Identità dell'entità Indicator . Obbligatorio |
| action | Enum | Azione eseguita se l'indicatore viene individuato nell'organizzazione. I valori possibili sono: Allowed, Audit, BlockAndRemediate, Warn e Block. Obbligatorio |
| title | Stringa | Titolo dell'avviso dell'indicatore. Obbligatorio |
| descrizione | Stringa | Descrizione dell'indicatore. Obbligatorio |
| expirationTime | Datetimeoffset | Ora di scadenza dell'indicatore nel formato seguente AAAA-MM-DDTHH:MM:SS.0Z. L'indicatore viene eliminato se passa il tempo di scadenza e qualsiasi cosa accada al momento della scadenza si verifica al valore dei secondi (SS). Opzionale |
| Gravità | Enum | Gravità dell'indicatore. I valori possibili sono: Informativo, Basso, Medio e Alto. Opzionale |
| recommendedActions | Stringa | Azioni consigliate per l'avviso dell'indicatore TI. Opzionale |
| rbacGroups | Stringa | Elenco delimitato da virgole dei gruppi di controllo degli accessi in base al ruolo a cui verrà applicato l'indicatore. Opzionale |
| Categoria | Stringa | Categoria dell'avviso. Gli esempi includono: esecuzione e accesso alle credenziali. Opzionale |
| mitretechniques | Stringa | Codice/id delle tecniche MITRE (separati da virgole). Per altre informazioni, vedere Tattiche aziendali. Opzionale È consigliabile aggiungere un valore nella categoria quando si usa una tecnica MITRE. |
| GenerateAlert | Stringa | Indica se l'avviso deve essere generato. I valori possibili sono: True o False. Opzionale |
Nota
La notazione CIDR (Classless Inter-Domain Routing) per gli indirizzi IP non è supportata. Per altre informazioni, vedere Microsoft Defender per endpoint categorie di avvisi sono ora allineate con MITRE ATT&CK!.
Guardare questo video per informazioni su come Microsoft Defender per endpoint offre diversi modi per aggiungere e gestire gli indicatori di compromissione (IoC).
Vedere anche
- Creare indicatori
- Creare indicatori per file
- Creare indicatori per IP e URL/domini
- indicatori Create basati sui certificati
- Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per